付録C レイヤ 2 パスの分析および軽減機能の設定
概要
この付録では、シスコ製スイッチを使用してレイヤ 2(L2)パスの分析および軽減機能を実行するように MARS を設定する方法について説明します。具体的な内容は、次のとおりです。
・
準備
– 要件
– ネットワーク図
・ 設定
– ネットワーク図
– アクセス タイプとしての SNMP 対応 Cisco Catalyst 5000 の追加
– アクセス タイプとしての SNMP 対応 Cisco Catalyst 6500 の追加(L2 のみ)
– アクセス タイプとしての Telnet 対応 Cisco 7500 ルータの追加
– 軽減機能の実行
準備
要件
・レイヤ 2 スイッチおよびルータに SNMP(簡易ネットワーク管理プロトコル)コミュニティ ストリングおよび IP アドレスが設定されていることを確認する必要があります。
・スイッチに Spanning-Tree Protocol(STP; スパニングツリー プロトコル)が正しく設定されていることを確認する必要があります。
使用コンポーネント
・SNMP アクセス対応 Cisco Catalyst 5000
・SNMP アクセス対応のレイヤ 2 用 Cisco Catalyst 6500
・SNMP または Telnet アクセス対応 Cisco 7500 ルータ
・ソフトウェア バージョン 2.5.1 が稼働する MARS
設定
ここでは、この付録に記載された機能の設定方法を示します。
ネットワーク図
この付録では、図 C-1 のネットワーク設定を使用します。
図 C-1 ネットワーク設定
軽減機能では、SNMP または Telnet プロトコルを介して取得したレイヤ 2 パス データを使用して、MARS からデバイスに軽減コマンドをダウンロードします。レイヤ 2 パスは MAC(メディア アクセス制御)アドレス、レイヤ 2 転送テーブル、およびレイヤ 3 パスに基づいています。MAC アドレスおよびレイヤ 2 転送テーブルを取得するには、SNMP を使用します。
レイヤ 2 パスおよび軽減を正常に機能させるための条件は、次のとおりです。
・Catalyst スイッチに搭載された MSFC モジュールなどの関連ルータは、SNMP を介して、または SNMP と Telnet を併用して検出する必要があります。
・L2 スイッチを検出するには、SNMP コミュニティ ストリングが必要です。
注L2 デバイスは手動で追加する必要があります。自動検出機能はありません。アクセス タイプが SNMP でない場合でも、HTML インターフェイスで指定された SNMP RO コミュニティ ストリングが、すべての L2 デバイス(スイッチ)に設定されていることを確認してください。レイヤ 2 デバイスで L2 軽減機能を実行する場合は、常に SNMP RO コミュニティ ストリングが必要です。
・スイッチが相互接続されている場合は、これらのスイッチで STP がイネーブル化および設定されていることを確認してください。
たとえば、上図のようなトポロジーの場合は、ここに記載された手順に従ってこれらのデバイスを検出します。
アクセス タイプとしての SNMP 対応 Cisco Catalyst 5000 の追加
ステップ 1 Admin > Security and Monitor Devices > Add の順にクリックします。
図 C-2 シスコ スイッチ CatOS の設定
ステップ 2 Device Type ドロップダウン リストで、Cisco Switch-CatOS ANY を選択します。
ステップ 3 Device Name にスイッチのデバイス名を入力します。
ステップ 4 Access IP にスイッチのアクセス IP アドレス、Reporting IP にレポート IP アドレス(MARS に表示されるデバイスの IP アドレス)を入力します。Reporting IP アドレスは通常、Access IP アドレスと同じですが、アクセス タイプに FTP(ファイル転送プロトコル)を使用している場合は、異なる IP アドレスを設定する必要があります。デバイスが MARS に Syslog データを送信している場合は、Reporting IP アドレスが必要です。
ステップ 5 Access Type ドロップダウン リストで、SNMP または TELNET を選択します。選択したアクセス タイプに応じて、入力が必要なフィールド、および入力できるフィールドに注意してください。
SNMP:
–Login ID にスイッチへのアクセスに必要なユーザ名、Password にパスワードを入力します。
–Enable Password に、シスコ イネーブル モードを開始するためのパスワードを入力します。
–SNMP RO Community を入力します。
ステップ 6 Test Connectivity ボタンをクリックして、MARS によるデバイス検出を開始します。
ステップ 7 Submit ボタンをクリックします。
アクセス タイプとしての SNMP 対応 Cisco Catalyst 6500 の追加(L2 のみ)
ステップ 1 Admin > Security and Monitor Devices > Add の順にクリックします。
図 C-3 シスコ スイッチ CatOS の設定
ステップ 2 Device Type ドロップダウン リストで、Cisco Switch-CatOS ANY を選択します。
ステップ 3 Device Name にスイッチのデバイス名を入力します。
ステップ 4 Access IP にスイッチのアクセス IP アドレス、Reporting IP にレポート IP アドレスを入力します。Reporting IP アドレスは通常、Access IP アドレスと同じです。
SNMP:
–Login ID にスイッチへのアクセスに必要なユーザ名、Password にパスワードを入力します。
–Enable Password に、シスコ イネーブル モードを開始するためのパスワードを入力します。
–SNMP RO Community を入力します。
ステップ 5 Test Connectivity ボタンをクリックして、MARS によるデバイス検出を開始します。
ステップ 6 Submit ボタンをクリックします。
アクセス タイプとしての Telnet 対応 Cisco 7500 ルータの追加
ステップ 1 Admin > Security and Monitor Devices > Add の順にクリックします。
図 C-4 Cisco IOS 12.2 の設定
ステップ 2 Device Type ドロップダウン リストで、Cisco Switch-IOS 12.2 を選択します。
ステップ 3 Device Name にスイッチのデバイス名を入力します。
ステップ 4 Access IP にスイッチのアクセス IP アドレス(任意)、Reporting IP にレポート IP アドレスを入力します。Reporting IP アドレスは通常、Access IP アドレスと同じです。
TELNET:
–Login ID にスイッチへのアクセスに必要なユーザ名、Password にパスワードを入力します。
–Enable Password に、シスコ イネーブル モードを開始するためのパスワードを入力します。
–SNMP RO Community を入力します(必須)。
ステップ 5 Test Connectivity ボタンをクリックして、MARS によるデバイス検出を開始します。
ステップ 6 Submit ボタンをクリックします。
レイヤ 3 およびレイヤ 2 の接続パスの検証
セッションを確立したあとは、レイヤ 3 およびレイヤ 2 トポロジー パスを表示できます。セッションはさまざまな方法で取得できます。
・インシデントに含まれるセッションを表示する手順は、次のとおりです。
ステップ 1 Incidents タブをクリックして、Incidents ページにナビゲートします。表示するインシデントの Incident ID をクリックします(この例では、インシデント番号 356120290 を使用)。Incident Details 画面が表示されます。
図 C-5 Incident Details 画面
ステップ 2 Incident Details 画面で、調査するイベント タイプと同じ行(この例では Windows RPC DCOM Overflow を使用)の Graph カラムにあるグラフ アイコンをクリックして、トポロジー パスを表示します。
・クエリーを実行してセッションを表示する手順は、次のとおりです。
ステップ 1 QUERY / REPORTS をクリックし、適切なクエリー基準を使用してクエリーを送信します。この例では、高速実行できるようにクエリー範囲を制限します。次の Query Event Data 画面では、結果フォーマット All Matching Sessions を使用し、直前の 10 分間に Source IP 10.1.252.250 と Destination IP 65.54.153.118 から送信されたイベントを問い合わせます。
図 C-6 Query Event Data 画面
ステップ 2 Apply をクリックして変更を適用し、Submit をクリックしてクエリーを送信して、Query Results 画面を表示します。
図 C-7 Query Results 画面
ステップ 3 Query Results 画面で、調査するイベント タイプと同じ行(この例では Windows RPC DCOM Overflow を使用)の Graph カラムにあるグラフ アイコンをクリックして、トポロジー パスを表示します。
表示される最初のトポロジー パスはレイヤ 3 トポロジー図です。
図 C-8 レイヤ 3 トポロジー図
Topology Path Graph の Layer 2 Path ボタンをクリックして、レイヤ 2 トポロジー図を表示します。
図 C-9 レイヤ 2 トポロジー図
軽減機能の実行
障害のあるホストを識別したら(この例では、CatSw に接続された 10.1.252.250)、同じサブネット内またはネットワークの別の場所にある他のホストに対して、このホストが攻撃するのを防ぐことが重要です。MARS には、ネットワークの残りの部分から障害ホストを隔離するワンクリック軽減機能があります。
軽減を実行する手順は、次のとおりです。
ステップ 1 Incident Details 画面で、軽減機能を実行する Session または Event Type に対応した Mitigate リンクをクリックします(この場合は、Windows RPC DCOM Overflow)。Mitigation Information 画面が表示されます。
図 C-10 Mitigation Information 画面
この画面には、デバイスに関する情報、および障害ホスト(この例では 10.1.252.250)を軽減するための推奨ポリシーまたはコマンドが表示されます。
ステップ 2 軽減コマンドをダウンロードするデバイスがレイヤ 2 デバイスの場合は(Mitigation Confirmation 画面の例など)、レッドの Push ボタンが表示されます。このボタンをクリックすると、Mitigation Confirmation 画面が表示され、障害ホストに軽減機能を実行できます。
注 軽減コマンドをダウンロードするデバイスがレイヤ 3 デバイスの場合は、Mitigation Information 画面にレッドで表示された Push ボタンがグレーになります。障害ホストに軽減機能を実行するには、推奨コマンドをこのデバイス上で直接使用する必要があります。
図 C-11 Mitigation Confirmation 画面
注 アクセス タイプに SNMP を使用してデバイスに軽減コマンドをダウンロードするには、MARS の SNMP RW コミュニティ ストリングをイネーブルにする必要があります。
ステップ 3 Yes ボタンをクリックして、デバイスに軽減機能が実行されたか確認します。
